Desmantelan Tycoon 2FA: Servicio Phishing Global
TL;DR
Desmantelamiento de la plataforma Tycoon 2FA PhaaS en una operación global
Una coalición global, liderada por Europol y en la que participaron agencias de seguridad y empresas de seguridad, ha desmantelado la plataforma de phishing como servicio (PhaaS) Tycoon 2FA. Esta plataforma facilitaba ataques de recolección de credenciales de tipo "adversario en el medio" (AitM) a gran escala. El kit de phishing basado en suscripción se vendía a través de Telegram y Signal y se utilizaba para recolectar credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión. Se alega que el desarrollador principal es Saad Fridi, con sede en Pakistán.
Escala e impacto de Tycoon 2FA
Europol describió a Tycoon 2FA como una de las mayores operaciones de phishing a nivel mundial, que permitía a los ciberdelincuentes acceder de forma encubierta a cuentas de correo electrónico y servicios basados en la nube. Intel 471 informó que el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios. Microsoft bloqueó más de 13 millones de correos electrónicos maliciosos vinculados al servicio en octubre de 2025, lo que representa aproximadamente el 62% de todos los intentos de phishing bloqueados por Microsoft a mediados de 2025. Se estima que el servicio ha afectado a 96.000 víctimas distintas de phishing en todo el mundo desde 2023.
Detalles técnicos de la plataforma
El panel de Tycoon 2FA servía como centro neurálgico para la configuración, el seguimiento y el perfeccionamiento de las campañas, y contaba con plantillas predefinidas, archivos adjuntos, configuración de dominio y alojamiento, y seguimiento de las víctimas. La plataforma interceptaba cookies de sesión, incluso después de restablecer las contraseñas, a menos que las sesiones y los tokens activos se revocaran explícitamente. También empleaba monitorización de pulsaciones de teclas, detección de bots, huellas dactilares del navegador y páginas señuelo dinámicas para evadir la detección. La infraestructura de phishing estaba alojada en Cloudflare utilizando nombres de dominio totalmente cualificados (FQDN) de corta duración para complicar la detección.
Distribución geográfica y victimología
El análisis de SpyCloud de los datos de registro de las víctimas mostró que EE.UU. tenía la mayor concentración de víctimas identificadas (179.264), seguido por el Reino Unido (16.901), Canadá (15.272), India (7.832) y Francia (6.823). Proofpoint observó más de tres millones de mensajes asociados con el kit de phishing solo en febrero de 2026. Trend Micro señaló que la plataforma PhaaS tenía aproximadamente 2.000 usuarios. Las campañas se dirigieron a casi todos los sectores, incluyendo la educación, la sanidad, las finanzas, las organizaciones sin ánimo de lucro y el gobierno.
Cadena de ataque y técnicas
La cadena de ataque comenzaba con correos electrónicos de phishing que contenían enlaces maliciosos o códigos QR que redirigían a las víctimas a páginas de inicio de sesión falsas. Estas páginas a menudo imitaban servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail, adaptándose dinámicamente para coincidir con la marca de la organización objetivo. Intel 471 señaló que Tycoon 2FA se vendía y ofrecía soporte principalmente a través de canales de Telegram operados por sus presuntos desarrolladores, a menudo asociados con el Grupo Saad Tycoon.
Recomendaciones para mejorar la seguridad
El desmantelamiento de Tycoon 2FA pone de relieve la necesidad de medidas de seguridad sólidas que vayan más allá de la MFA básica. Trend Micro recomienda adoptar mecanismos de autenticación resistentes al phishing, implementar seguridad avanzada para el correo electrónico y la colaboración, habilitar la inspección de URL en tiempo real, supervisar la postura de riesgo de la identidad y realizar simulaciones de phishing periódicas. squirrelvpn.com ofrece noticias, información y actualizaciones de vanguardia sobre la tecnología VPN y la privacidad en línea que pueden ayudar a proteger contra este tipo de amenazas.
Mejore su seguridad en línea con squirrelvpn.com. Explore nuestros artículos detallados, noticias y funciones sobre la tecnología VPN, y consejos para mejorar la seguridad y la privacidad en línea. Póngase en contacto con nosotros hoy mismo para obtener más información sobre cómo nuestros servicios pueden protegerle de los ataques de phishing y otras ciberamenazas.
